Cada mes tiene un segundo martes, y eso significa que cada mes tiene un Patch Tuesday – el día en que Microsoft publica su paquete habitual de actualizaciones de seguridad, corrigiendo vulnerabilidades en su software que podrían ser explotadas por atacantes.
Ayer no fue la excepción, dado que Microsoft emitió nueve boletines de seguridad, cinco de los cuales obtuvieron la calificación más alta de severidad: "crítico".
La mayoría de las vulerabilidades críticas se encuentran en los navegadores web de Microsoft, Internet Explorer y Edge, y dejan la puerta abierta a ataques que podrían ser exitosos tras la mera visita a un sitio infectado.
Pero no solo se trata de navegadores con bugs. Microsoft Office también está presente. Como explica el boletín de seguridad MS16-099, las computadoras quedan en riesgo si los usuarios abren un documento Word creado con ciertos parámetros maliciosos:
Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Office. La más severa podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado. Un atacante que explote exitosamente las vulnerabilidades podría ejecutar código arbitrario en el contexto del propio usuario.
Es fácil imaginar que tal vulnerabilidad podría ser explotada por actores maliciosos que realizan un ataque dirigido contra una organización, enviando a sus empleados un correo electrónico utilizando técnicas de Ingeniería Social para hacerlo parecer legítimo, y adjuntando un documento alterado.
Otra vulnerabilidad crítica, corregida en el parche MS16-097, tiene que ver con la forma en que Windows maneja las fuentes, la cual podría derivar en la ejecución remota de código. Las vulnerabilidades relacionadas a fuentes impactan a Microsoft Office, Skype for Business, Microsoft Lync y al propio Windows.
El formato de archivo PDF también está teniendo dolores de cabeza. MS16-102 describe cómo los usuarios de Edge en Windows 10 son particularmente vulnerables a archivos PDF infectados en sitios web comprometidos:
Para explotar la vulnerabilidad en sistemas Windows 10 con Microsoft Edge como navegador por defecto, un atacante podría alojar un sitio web especialmente diseñado que contenga contenido PDF malicioso y luego convencer a los usuarios de que lo visiten. El atacante también podría aprovecharse de sitios comprometidos, o sitios que aceptan o alojan contenido provisto por usuarios o avisos publicitarios, añadiendo contenido PDF alterado a ellos.
Solo sistemas Windows 10 con Microsoft Edge como navegador por defecto pueden ser comprometidos simplemente por ver un sitio. Los navegadores para todos los otros sistemas operativos afectados no cargan contenido PDF en forma automática, por lo que un atacante no tendría forma de forzar a los usuarios a ver el contenido que controla. En cambio, tendría que convencer a los usuarios de que abran un documento PDF alterado, típicamente por un correo electrónico, mensaje instantáneo o adjunto de correo electrónico.
Como siempre, puedes mitigar parte del riesgo asegurándote de que los usuarios no están usando Windows en modo Administrador.
La buena noticia es que actualmente no se conocen explotaciones in-the-wild de las vulnerabilidades parcheadas por Microsoft, pero sería prudente que no te duermas en los laureles. Cada vez que Microsoft emite actualizaciones de seguridad, asegúrate de instalarlas en las computadoras vulnerables tan pronto como te sea posible, para limitar cualquier potencial vector de ataque.
Los clientes corporativos deberán verificar que los parches no causen problemas durante la implementación en un conjunto de computadoras de prueba antes de actualizar todas las de la red.